Avast傘下の「CCleaner」にマルウェア混入、正規ルートで配信

システムクリーナーソフト「CCleaner」の正規版が改ざんされてマルウェアを仕込まれ、正規のダウンロードサーバを通じて配布されていたことが分かった。

　ウイルス対策ソフトウェアメーカーAvast Software傘下のシステムクリーナーソフト「CCleaner」が何者かに改ざんされた。マルウェアを仕込まれ、正規のダウンロードサーバを通じて配布されていたことが分かった。Ciscoのセキュリティ部門Talosが2017年9月18日のブログで明らかにした。

改ざんされた「CCleaner」の問題について説明するPiriformのブログ

　CCleaner開発元のPiriformはAvastが7月に買収したセキュリティ企業。9月18日、同社はこの問題を認めて謝罪し、ユーザーには最新版に更新するよう呼び掛けている。

　Piriformによると、マルウェアが仕込まれていたのはWindows向けの「CCleaner 5.33.6162」と「CCleaner Cloud 1.07.3191」の両バージョン。9月12日に不審な挙動を発見して調べたところ、一般へのリリース前に、CCleaner.exeのバイナリが改ざんされてバックドアが仕込まれ、影響を受けるシステム上で、リモートのIPアドレスから受け取ったコードを実行できる状態になっていたことが分かった。

　悪質なサーバは既にダウンしていて、他のサーバも攻撃者に制御できない状態に置かれているとPiriformは説明し、「われわれの知る限り、損害が発生する前に脅威を鎮めることができた」と強調している。CCleaner 5.33.6162をダウンロードしたユーザーは、5.34またはそれ以降のバージョンに更新するよう促した。CCleaner Cloud 1.07.3191は自動更新で対応している。

　Talosによると、マルウェアを仕込んだバージョンのCCleanerは8月15日にリリースされ、9月12日に更新版のバージョン5.34が公開されるまでの約1カ月にわたって配布されていた。この間にダウンロードされたCCleanerの実行可能ファイルには、Piriformの正規の署名が入っていたという。

　CCleanerが改ざんされた経緯や、攻撃の出所および背後関係などについてはまだ捜査中とPiriformは説明する。Talosでは、外部の攻撃者が開発またはビルド環境に不正アクセスしてCCleanerのコードにマルウェアを挿入したのではないかと推測。開発環境にアクセスできるインサイダーが不正なコードを仕込んだ可能性や、アカウントが乗っ取られた可能性にも言及している。

　Talosは今回の事件について、攻撃者がメーカーやサプライヤーとユーザーの間の信頼関係に付け込んでマルウェアを拡散させようとするサプライチェーン攻撃の実体を見せつける実例と位置付けている。

問題を指摘したTalosのブログ